Malware para macOS combina diferentes técnicas de ataque

A empresa de segurança blockchain SlowMist identificou uma nova campanha de malware voltada para computadores com macOS. Segundo a análise da companhia, o programa malicioso reúne diversas técnicas em uma única cadeia de ataque para comprometer contas do Telegram e carteiras de criptomoedas armazenadas no dispositivo.

O malware coleta informações sensíveis do sistema operacional, incluindo dados do Keychain do macOS, cookies do Safari, anotações do Apple Notes, arquivos do Telegram Desktop e bancos de dados pertencentes a diversas carteiras digitais.

Após reunir essas informações, o software malicioso copia sessões autenticadas do Telegram Desktop, arquivos das carteiras e dados de extensões de carteiras instaladas no navegador. Com isso, os invasores passam a ter acesso a informações que podem ser utilizadas em diferentes etapas do ataque.

A SlowMist informou que conseguiu reproduzir toda a cadeia de infecção em um ambiente isolado para confirmar o funcionamento do malware.

Carteiras de criptomoedas estão entre os principais alvos

Segundo a empresa, o malware procura arquivos relacionados a uma ampla lista de carteiras utilizadas no ecossistema de criptomoedas.

Entre as carteiras de software identificadas pela SlowMist estão:

O malware também busca informações armazenadas por aplicativos de carteiras de hardware, incluindo Ledger Live e Trezor Suite.

Além disso, a campanha procura dados mantidos por clientes full-node, como:

CarteiraTipo
Bitcoin CoreFull node
Litecoin CoreFull node
Dash CoreFull node
Dogecoin CoreFull node

Segundo a SlowMist, o objetivo é reunir o maior número possível de informações que permitam posteriormente acessar ou recuperar os ativos digitais das vítimas.

Telegram Desktop também pode ser comprometido

Além das carteiras, o Telegram Desktop representa outro foco importante do ataque.

Após copiar os arquivos de sessão autenticada presentes no computador infectado, os invasores conseguem reutilizar essas informações em outro dispositivo.

De acordo com a SlowMist, durante os testes realizados pelos pesquisadores, foi possível restaurar uma sessão roubada do Telegram Desktop em outro computador Mac sem necessidade de inserir novamente o número de telefone, código de verificação ou senha da autenticação em duas etapas.

Isso ocorre porque o malware utiliza uma sessão já autenticada localmente, em vez de tentar criar um novo acesso à conta.

Segundo a empresa, esse comportamento faz com que a autenticação em duas etapas do Telegram, isoladamente, não seja suficiente para impedir esse tipo específico de ataque.

Aplicativos falsos podem capturar frases de recuperação

Outro recurso identificado pelos pesquisadores envolve a substituição de aplicativos legítimos por versões adulteradas.

Segundo a SlowMist, os invasores podem substituir o Ledger Live e o Trezor Suite por aplicativos falsificados que imitam a aparência dos programas originais.

O objetivo é convencer o usuário a inserir sua frase de recuperação (seed phrase) diretamente no aplicativo comprometido.

Caso isso aconteça, os criminosos passam a ter acesso às palavras necessárias para restaurar a carteira em outro dispositivo.

Além disso, utilizando senhas obtidas durante a infecção, os invasores também podem tentar descriptografar offline os bancos de dados das carteiras roubadas.

SlowMist orienta troca imediata das credenciais

Para usuários que suspeitam de comprometimento do computador, a SlowMist recomenda uma série de medidas imediatas para reduzir os riscos.

Entre as principais orientações estão:

Segundo a empresa, essas medidas ajudam a reduzir o risco de reutilização das credenciais já comprometidas.

Para investidores em criptomoedas, o caso reforça que ataques atuais não buscam apenas roubar senhas, mas também capturar sessões autenticadas, bancos de dados locais e frases de recuperação. A combinação dessas técnicas amplia significativamente o potencial de comprometimento das carteiras quando o dispositivo é infectado.